Dans le cadre d'opérations d'affiliation impliquant l'utilisation de traceurs de connexion afin de déterminer si l'internaute qui a accompli un acte d'achat sur un site marchand s'est connecté sur ce site à partir d'un lien figurant sur celui de l'opérateur affilié, ces traceurs ont pour seule finalité de permettre la rémunération de l'affilié par l'éditeur du site marchand, le cas échéant par l'intermédiaire d'une plateforme d'affiliation. Ils n'ont pas pour finalité de permettre ou de faciliter la communication par voie électronique au sens de l'article 82 de la loi n°78‑17 du 6 janvier 1978, dès lors qu'aucun traceur de connexion de la nature de ceux utilisés pour la facturation des opérations d'affiliation n'est nécessaire pour qu'un internaute se connecte à un site marchand à partir d'un site édité par un tiers et y effectue un achat. Ils ne peuvent davantage être regardés comme strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur, alors que la rémunération de l'affilié par l'éditeur du site marchand ne répond pas à une demande de l'utilisateur. Par ailleurs, la circonstance que certains traceurs seraient nécessaires à la viabilité économique d'un site ou d'un partenariat ne saurait conduire à les ranger dans l'une ou l'autre des exceptions prévues par l'article 82 de la loi du 6 janvier 1978. Enfin, ces traceurs n'ont, en tout état de cause, pas la même finalité que ceux permettant la mesure de l'audience des sites internet. Par suite, il doit être exigé que le consentement des utilisateurs soit recueilli préalablement au dépôt et à l'utilisation des traceurs en cause.

1) a) Il résulte de l'article 82 de la loi n°78‑17 du 6 janvier 1978, éclairé par les dispositions respectives de la directive 2002/58/CE telles qu’interprétées par la Cour de justice de l’Union européenne dans son arrêt C‑673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme consentement éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l'éditeur d'un site qui dépose des « cookies » doit être considéré comme un responsable de traitement, y compris lorsqu’il sous‑traite à des tiers la gestion de « cookies » mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour le leur compte propre. Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des responsables ou co‑responsables du traitement de données doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement.

b) Il découle des dispositions de l'article 82 de la loi n°78‑17 du 6 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre. Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités.

2) Il résulte clairement de la combinaison de l'article 4, point 11 et de l'article 7, paragraphe 3 du RGPD avec l'article 82 de la loi n°78‑17 du 6 janvier 1978 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait « être aussi facile de refuser ou de retirer son consentement que de le donner », s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.

3) La CNIL affirme, à l'article 2 de sa recommandation, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des « cookies walls ». En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posée par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978 cité au point 3. Il s'ensuit que la délibération attaquée est, dans cette mesure, entachée d'illégalité.

ème ème

1) Les dispositions de l'article 32 de la loi n°78‑17 du 6 janvier 1978 éclairées par les objectifs de la directive n°2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques qu'elles transposent, instituent une obligation d'information claire et complète des utilisateurs d'internet sur les témoins de connexion (cookies) qui sont susceptibles d'être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu'ils visitent un site. Ces témoins de connexion et les informations qu'ils contiennent étant par la suite accessibles lors de connexions ultérieures à internet à l'aide du même terminal, elles imposent, d'une part, une information des utilisateurs de services de communications électroniques, en particulier des utilisateurs d'internet, sur la finalité de ces cookies et les moyens dont ils disposent pour s'y opposer. Elles imposent, d'autre part, le recueil de leur consentement avant tout dépôt de cookies sur le terminal grâce auquel ils accèdent à ces services. Ne sont pas concernés par ces obligations les cookies qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. En revanche, le fait que certains cookies ayant une finalité publicitaire soient nécessaires à la viabilité économique d'un site ne saurait conduire à les regarder comme « strictement nécessaires à la fourniture » du service de communication en ligne.

2) Alors que la société requérante soutient qu'elle s'est mise en conformité avec ces exigences, en proposant aux personnes concernées le paramétrage de leur navigateur pour s'opposer au dépôt de cookies, les éléments portés à la connaissance des utilisateurs du site « www.challenges.fr » ne leur permettaient ni de différencier clairement les catégories de cookies susceptibles d'être déposés sur leur terminal, ni de s'opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition. Dans ces conditions, c'est à bon droit que la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d'opposition au dépôt de cookies et en a déduit qu'il n'avait pas été remédié au manquement à l'obligation d'information et de mise en œuvre d'un mécanisme d'opposition en cas de dépôt de témoins de connexion qu'elle avait constaté dans sa mise en demeure.

Si un responsable de traitement peut se prévaloir d'une exemption à l'information et au recueil du consentement lorsque les opérations de lecture/écriture effectuées dans le terminal d'un utilisateur ont pour seule finalité la sécurisation d'un mécanisme d'authentification au bénéfice des utilisateurs, il en va autrement lorsque ces opérations poursuivent également d'autres finalités complémentaires qui ne sont pas strictement nécessaires à la fourniture d'un service. Ainsi, un mécanisme de reCAPTCHA n'a pas pour seule finalité la sécurisation du mécanisme d'authentification au bénéfice des utilisateurs mais permet tant par ailleurs des opérations d'analyse de la part d'une société tierce qui doit faire l'objet d'une information des utilisateurs et du recueil de leur consentement.

Le fait de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité d'un bouton « Tout accepter ». En effet, un utilisateur d’internet est généralement conduit à consulter de nombreux sites. La navigation sur internet se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur un bouton de gestion des paramètres et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies. Les modalités par lesquelles le refus des cookies peut être exprimé, dans le contexte de la navigation sur Internet, peuvent biaiser l’expression du choix en faveur du consentement de façon à altérer la liberté de choix. Le fait de ne pas offrir à l’utilisateur la possibilité de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité qu’il avait de les accepter est de nature à caractériser un manquement aux dispositions de l’article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, interprétées à la lumière du RGPD.

Lorsqu'un identifiant mobile est créé pour chaque compte utilisateur sur les serveurs d'une société, des « informations » sont lues sur l'équipement terminal de ce dernier afin de permettre d'associer les requêtes émises à un compte utilisateur (c'est‑à‑dire le fait que l'utilisateur effectue une recherche, télécharge ou achète des applications) et, plus tard, d'affecter cet utilisateur unique à des segments au sein d'un univers nécessitant une authentification (univers « authentifié » ou « logué »). Même si la principale fonction de ces informations serait de permettre l'authentification d’un utilisateur au sein d'un univers logué – ce qui constituerait en soi une finalité dispensée du recueil du consentement car strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur – la circonstance que les informations collectées grâce à ces témoins de connexion soient également utilisées pour permettre la segmentation à des fins publicitaires empêche nécessairement lesdits témoins de connexion de rentrer dans les catégories de traceurs dont la lecture est exemptée du recueil du consentement au sens de l'article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

1) Si un cookie multi-finalités peut être déposé sans consentement pour une finalité essentielle qui relève de l'une des deux exemptions prévues à l'article 82 de la loi Informatique et Libertés, la société ne pourra utiliser ce cookie pour des finalités non essentielles que si l'utilisateur a effectivement consenti à ces finalités spécifiques préalablement à son inscription dans son terminal. En effet, déposer un cookie multi-finalités sur le terminal de l'utilisateur pour des finalités essentielles exemptées du recueil du consentement au titre des exemptions prévues à l'article 82 de la loi Informatique et Libertés, puis faire relever du RGPD les traitements ultérieurs réalisés pour des finalités non essentielles dudit cookie, reviendrait à détourner les dispositions de l'article 82 de la loi Informatique et Libertés puisque le consentement de l'utilisateur ne serait plus jamais sollicité préalablement au dépôt de cookies.

2) À ce titre, la finalité de lutte contre la fraude publicitaire, comprise comme l'ensemble des pratiques de tiers visant à manipuler la distribution et la mesure publicitaire opérée par une régie, que cette fraude soit opérée au détriment de ladite régie ou de ses partenaires publicitaires, concerne la diffusion publicitaire et n'impacte pas la fourniture d'un service de moteur de recherche aux utilisateurs. Les cookies ayant cette finalité ne remplissent aucune des conditions prévues pour les deux exceptions de l'article 82 de la loi Informatique et Libertés, dès lors notamment que la publicité n'est pas le service demandé par l'utilisateur, et nécessitent le consentement de l'utilisateur.

Pour être valable, le consentement de l'utilisateur doit être donné de manière libre, spécifique, éclairée et univoque, conformément à l'article 4.11 du RGPD. À ce titre, les solutions mises à la disposition de l’utilisateur pour refuser les opérations de lecture et/ou d’écriture d’informations dans le terminal des utilisateurs doivent présenter le même degré de simplicité que celles prévues pour en accepter l’usage.

Lorsque le lien permettant de refuser le dépôt de cookies soumis à consentement bénéficie d’une visibilité très faible par rapport au bouton permettant de l’accepter, un tel dispositif ne permet pas de refuser les cookies soumis à consentement aussi facilement qu’il est possible de les accepter, et constitue un manquement à l'article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée.

Tel est le cas d’un lien permettant de refuser le dépôt de cookies qui n’est actif que sur un seul mot d’une phrase, sans mise en valeur particulière autre que le soulignement du lien, de sorte qu’un effort de recherche supplémentaire de la part de l’utilisateur est nécessaire pour voir ce hypertexte dissimulé et comprendre qu’il permet de refuser en un clic le dépôt de cookies sur son terminal ; à l’inverse, le bouton permettant d’accepter les cookies est isolé dans un cadre propre, parfaitement visible et identifiable, utilisant un contraste élevé entre la police du texte et la couleur du fond du bouton.

Le fait, pour une plateforme en ligne, de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton « Tout accepter ». En effet, un utilisateur d’internet est généralement conduit à consulter de nombreux sites. La navigation sur internet se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur « Personnaliser » et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies.

En l’espèce, les plateformes offrent un choix entre l'acceptation ou le refus des cookies, mais les modalités par lesquelles ce refus peut être exprimé, dans le contexte de la navigation sur internet, biaise l’expression du choix en faveur du consentement de façon à altérer la liberté de choix. En effet, les utilisateurs résidant en France se rendant sur les sites concernés doivent effectuer une seule action pour accepter les cookies, alors qu’ils doivent en effectuer cinq pour les refuser.

Au regard de ce qui précède, un manquement aux dispositions de l’article 82 de la loi Informatique et Libertés, interprétées à la lumière du RGPD, est constitué, dans la mesure où les plateformes ne mettent pas à disposition des utilisateurs situés en France, sur les sites internet concernés, un moyen de refuser les opérations de lecture et/ou d’écriture d’informations dans leur terminal présentant le même degré de simplicité que celui prévu pour en accepter l’usage.

Les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être mis en mesure de le retirer aussi simplement et à tout moment. Dès que les personnes retirent leur consentement, une société éditrice de site web, lorsqu’elle réalise techniquement le dépôt de cookies et dispose de la maîtrise des requêtes réalisant les opérations de lecture et écriture sur ces cookies, doit s’assurer qu’il n’y a plus d’action de lecture ou d’écriture des cookies réalisée en violation du retrait du consentement de l’utilisateur, par exemple en effaçant le contenu desdits cookies ou en les rendant invalides à travers leur durée de validité.

Au titre des obligations qui pèsent sur l’éditeur d’un site qui dépose des cookies tiers, figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire de son site, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements. Cette obligation est une obligation de moyen, et non de résultat.

S’agissant de la responsabilité associée aux cookies déposés par des tiers sous le nom de domaine d’un éditeur de site web, pour que des opérations de lecture ou d’écriture d’informations puissent être effectuées par des tiers sous les noms de domaine de la société éditrice, ceci n’est en principe rendu possible que par l’inclusion par la société d’un fragment de code sur son site permettant aux tiers de déposer ou non un cookie.

Lorsqu’un éditeur de site web choisit ses partenaires et les autorise, à la fois juridiquement et par le codage informatique du site, à déposer des cookies sur les terminaux des utilisateurs et que, du fait de ce choix, le fonctionnement de son site ne lui permet pas de bloquer les cookies déposés par des tiers, cela n’exonère pas l’éditeur de sa responsabilité et il lui appartient de mettre en place des moyens adaptés au choix qu’il a opéré, tant dès l’arrivée de l’utilisateur sur le site qu’après avoir exprimé son refus.

En permettant que des opérations de lecture ou d’écriture d’informations puissent être effectuées par des tiers sous ses noms de domaine, l’éditeur d’un site web peut décider, si l’un de ses partenaires ne respecte pas la réglementation, de mettre en œuvre tous les moyens nécessaires pour faire cesser le manquement, puis, en dernier recours, de mettre fin à la relation du contrat ou d’engager des actions à son encontre. Lorsqu’une société constate qu’un de ses partenaires continue d’effectuer des opérations en violation des règles applicables malgré les outils qu’elle a mis en œuvre pour éviter cette situation et ses demandes ultérieures pour que de telles violations ne se reproduisent plus, il lui appartient d’envisager les différents moyens juridiques à sa disposition qui sont nécessaires pour faire cesser ces manquements, en prévoyant par exemple contractuellement la possibilité d’engager des actions contre ses partenaires (par exemple une action en responsabilité ou la suspension temporaire du contrat jusqu’au respect de ses engagements par le partenaire), et, en dernier recours, en appréciant l’opportunité de mettre un terme aux relations commerciales.

1) L'article 17 du RGPD doit être interprété en ce sens que la demande de suppression des données à caractère personnel d'un abonné tendant à la suppression de ses données à caractère personnel des annuaires constitue un recours au « droit à l'effacement » au sens de cet article.

2) L'article 5, paragraphe 2, et l'article 24 du RGPD doivent être interprétés en ce sens qu'une autorité de contrôle nationale peut exiger que le fournisseur d'annuaires, en tant que responsable du traitement, prenne les mesures techniques et organisationnelles appropriées pour informer les responsables de traitement tiers, à savoir l'opérateur de services téléphoniques qui lui a communiqué les données à caractère personnel de son abonné ainsi que les autres fournisseurs d'annuaires auxquels il a fourni de telles données, du retrait de consentement de cet abonné.

3) L'article 17, paragraphe 2, du RGPD, doit être interprété en ce sens qu'il ne s'oppose pas à ce qu'une autorité de contrôle nationale ordonne à un fournisseur d'annuaires et de services de renseignements téléphoniques accessibles au public, auquel l'abonné d'un opérateur de services téléphoniques a demandé de ne plus publier les données à caractère personnel le concernant, de prendre des « mesures raisonnables », au sens de cette disposition, afin d'informer les fournisseurs de moteurs de recherche de cette demande d'effacement des données.

4) L'article 12, paragraphe 2, de la directive 2002/58, lu en combinaison avec l'article 2, second alinéa, sous f), de cette directive et avec l'article 95 du RGPD, doit être interprété en ce sens que le « consentement », au sens de l'article 4, point 11, du RGPD, de l'abonné d'un opérateur de services téléphoniques est exigé afin que les données à caractère personnel de cet abonné figurent dans les annuaires et les services de renseignements téléphoniques accessibles au public publiés par des fournisseurs autres que cet opérateur, ce consentement pouvant être fourni soit audit opérateur soit à l'un de ces fournisseurs.

L'article 12 de la directive 2002/58/CE du 12 juillet 2002 (directive «vie privée et communications électroniques») doit être interprété en ce sens qu'il ne s'oppose pas à une réglementation nationale qui fait obligation à une entreprise publiant des annuaires publics de transmettre des données à caractère personnel qu'elle détient concernant les abonnés d'autres fournisseurs de services téléphoniques à une entreprise tierce dont l'activité consiste à publier un annuaire public imprimé ou électronique ou à rendre de tels annuaires consultables par l'intermédiaire de services de renseignements, sans qu'une telle transmission soit subordonnée à un nouveau consentement des abonnés, pour autant toutefois que, d'une part, ces derniers ont été informés avant la première inscription de leurs données dans un annuaire public de la finalité de celui-ci ainsi que du fait que ces données seraient susceptibles d'être communiquées à un autre fournisseur de services téléphoniques; et que, d'autre part, il est garanti que lesdites données ne seront pas, à l'exception de leur transmission, utilisées à des fins autres que celles pour lesquelles elles ont été collectées en vue de leur première publication.

1) Les données des médecins référencés sur un service d'annuaire, bien que déjà publiquement accessibles et d'ordre professionnel, sont des données personnelles. Dès lors, elles ne peuvent être réutilisées par les éditeurs de tels annuaires que dans le respect du règlement général sur la protection des données (RGPD).

2) À cet égard, la CNIL estime que lorsque ces annuaires consistent uniquement à référencer des professionnels et se limitent, par défaut (c'est-à-dire sauf intervention directe de ces derniers), à rediffuser les données « élémentaires » sur leur activité (données d'identité, spécialités / domaines d'expertise, coordonnées du lieu d'exercice de la profession, etc.) qui se trouvent publiées dans un format ouvert en vertu d'un cadre légal spécifique (en l'espèce, dans le cadre du « Répertoire partagé des professionnels intervenant dans le système de santé »), leur licéité n'est pas subordonnée au recueil d'un consentement préalable du professionnel concerné.

3) Pour autant, si un consentement n'est pas requis, les éditeurs d'annuaires doivent informer les personnes dont ils traitent les données des finalités qu'ils poursuivent et des conditions de mise en œuvre de leurs traitements. Une telle information permet aux personnes de conserver la maîtrise des usages qui sont faits de leurs données, en les mettant notamment en mesure d'exercer leurs droits, dont celui de pouvoir s'opposer à un tel traitement.

Des messages publicitaires qui visent la promotion de services, diffusés sous la forme d'un courrier électronique, de telle sorte qu'ils apparaissent directement dans la boîte de réception de la messagerie électronique privée de l'utilisateur concerné, permettent de qualifier ces messages de communications visant la prospection directe, au sens de l'article 13, paragraphe 1, de la directive 2002/58.

Le choix aléatoire ou prédéfini du destinataire ne constitue pas une condition de l'application de l'article 13, paragraphe 1, de la directive 2002/58. En d'autres termes, il importe peu que la publicité en cause soit adressée à un destinataire prédéterminé et individuellement identifié ou bien qu'il s'agisse d'une diffusion massive et aléatoire auprès de multiples destinataires. Ce qui importe est qu'il existe une communication à finalité commerciale qui atteint directement et individuellement un ou plusieurs utilisateurs de services de messagerie électronique en étant insérée dans la boîte de réception du compte de messagerie électronique de ces utilisateurs.

1) Les dispositions de l'article 34 bis de la loi n°78-17 du 6 janvier 1978 imposent seulement aux fournisseurs de services de communications électroniques accessibles au public d'informer la CNIL et, le cas échéant, les personnes intéressées lorsqu'ils constatent une violation de données à caractère personnel. Elles n'ont ni pour objet ni pour effet de leur imposer de révéler des manquements qui leur seraient imputables. Un requérant ne saurait dès lors utilement soutenir qu'elles méconnaîtraient les stipulations du 1 de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH), qui garantissent le droit de ne pas contribuer à sa propre incrimination, et les articles 47 et 48 de la Charte des droits fondamentaux de l'Union européenne, qui garantissent le droit d'accéder à un tribunal impartial et les droits de la défense.

2) En revanche, un requérant peut utilement soutenir qu'une sanction prononcée par la CNIL contre un fournisseur de services de communications électroniques accessibles au public à raison d'un manquement révélé du fait de l'obligation prévue par les dispositions de l'article 34 bis méconnaît ces stipulations.

L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui autorise l’autorité publique chargée de la protection des droits d’auteur et des droits voisins contre les atteintes à ces droits commises sur Internet à accéder aux données, conservées par les fournisseurs de services de communications électroniques accessibles au public, relatives à l'identité civile correspondant à des adresses IP collectées préalablement par des organismes d’ayants droit, afin que cette autorité puisse identifier les titulaires de ces adresses, utilisées pour des activités susceptibles de constituer de telles atteintes, et puisse prendre, le cas échéant, des mesures à leur égard, à condition que, en vertu de cette réglementation,

– ces données soient conservées dans des conditions et selon des modalités techniques garantissant qu’il soit exclu que cette conservation puisse permettre de tirer des conclusions précises sur la vie privée de ces titulaires, par exemple en établissant leur profil détaillé, ce qui peut être accompli, en particulier, en imposant aux fournisseurs de services de communications électroniques une obligation de conservation des différentes catégories de données à caractère personnel, telles les données relatives à l'identité civile, les adresses IP ainsi que les données relatives au trafic et les données de localisation, garantissant une séparation effectivement étanche de ces différentes catégories de données empêchant, au stade de la conservation, toute exploitation combinée de ces différentes catégories de données, et pour une durée ne dépassant pas le strict nécessaire,

– l’accès de cette autorité publique à de telles données conservées de manière séparée et effectivement étanche sert exclusivement à identifier la personne soupçonnée d’avoir commis une infraction pénale et soit entouré des garanties nécessaires pour exclure que, hormis dans des situations atypiques, cet accès puisse permettre de tirer des conclusions précises sur la vie privée des titulaires des adresses IP, par exemple en établissant leur profil détaillé, ce qui implique, en particulier, qu’il soit interdit aux agents de cette autorité autorisés à avoir un tel accès de divulguer, sous quelque forme que ce soit, des informations sur le contenu des fichiers consultés par ces titulaires, sauf à seules fins de saisir le ministère public, de procéder à un traçage du parcours de navigation de ces titulaires et, de manière plus générale, d’utiliser ces adresses IP à une fin autre que celle d’identifier leurs titulaires en vue de l’adoption d’éventuelles mesures contre ces derniers,

– la possibilité, pour les personnes chargées de l’examen des faits au sein de ladite autorité publique, de mettre en relation de telles données avec les fichiers comportant des éléments permettant de connaître le titre d’œuvres protégées dont la mise à disposition sur Internet a justifié la collecte des adresses IP par des organismes d’ayants droit, soit subordonnée, dans des hypothèses de nouvelle réitération d’une activité portant atteinte aux droits d’auteur ou aux droits voisins par une même personne, à un contrôle par une juridiction ou une entité administrative indépendante, lequel ne peut être entièrement automatisé et doit intervenir préalablement à une telle mise en relation, cette dernière étant susceptible, dans de telles hypothèses, de permettre que soient tirées des conclusions précises sur la vie privée de ladite personne dont l’adresse IP a été utilisée pour des activités pouvant porter atteinte aux droits d’auteur ou aux droits voisins,

– le système de traitement de données utilisé par l’autorité publique fasse l’objet, à intervalles réguliers, d’un contrôle par un organisme indépendant et ayant la qualité de tiers par rapport à cette autorité publique visant à vérifier l’intégrité du système, y compris les garanties effectives contre les risques d’accès et d’utilisation abusifs ou illicites de ces données, ainsi que son efficacité et sa fiabilité pour détecter les éventuels manquements.

L'article 6, paragraphe 1, premier alinéa, sous f), du RGPD, lu en combinaison avec l’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 (directive vie privée et communications électroniques), doit être interprété en ce sens qu’il ne s’oppose, en principe, ni à l’enregistrement systématique, par le titulaire de droits de propriété intellectuelle ainsi que par un tiers pour son compte, d’adresses IP d’utilisateurs de réseaux de pair à pair dont les connexions internet ont été prétendument utilisées dans des activités contrefaisantes ni à la communication des noms et des adresses postales de ces utilisateurs à ce titulaire ou à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage prétendument causé par lesdites utilisateurs, à condition toutefois que les initiatives et les demandes en ce sens dudit titulaire ou d’un tel tiers soient justifiées, proportionnées et non abusives et trouvent leur fondement juridique dans une mesure législative nationale, au sens de l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, qui limite la portée des règles énoncées aux articles 5 et 6 de cette directive, telle que modifiée.

Les directives 2002/58/CE du 12 juillet 2002 (directive vie privée et communications électroniques), et 2004/48 (droits de propriété intellectuelle) ne s'opposent pas à une législation nationale qui, aux fins d'identification d'un abonné Internet ou d'un utilisateur d'Internet, permet d'enjoindre à un fournisseur d'accès Internet de communiquer au titulaire d'un droit d'auteur ou à son ayant droit l'identité de l'abonné à qui une adresse IP (protocole internet) qui aurait servi à l'atteinte audit droit a été attribuée, dans la mesure où cette législation permet, à la juridiction nationale saisie d'une demande d'injonction de communiquer des données à caractère personnel, introduite par une personne ayant qualité pour agir, de pondérer, en fonction des circonstances de chaque espèce et en tenant dûment compte des exigences résultant du principe de proportionnalité, les intérêts opposés en présence.

L'Directive 2002/58/CE, Article 15, paragraphe 1, lu à la lumière de l'article 47, deuxième alinéa, de la charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu'il ne s'oppose pas à une pratique nationale en vertu de laquelle les décisions judiciaires autorisant le recours à des techniques spéciales de renseignement à la suite d'une demande motivée et circonstanciée des autorités pénales sont rédigées au moyen d'un texte préétabli et dépourvu de motifs individualisés, mais se limitant à indiquer, outre la durée de validité de l'autorisation, que les exigences prévues par la législation dont ces décisions font mention, sont respectées, à condition que les raisons précises pour lesquelles le juge compétent a considéré que les exigences légales étaient respectées au regard des éléments factuels et juridiques caractérisant le cas d'espèce puissent être inférées aisément et sans ambiguïté d'une lecture croisée de la décision et de la demande d'autorisation, cette dernière devant être rendue accessible, postérieurement à l'autorisation donnée, à la personne contre laquelle le recours à des techniques spéciales de renseignement a été autorisé. Faculté pour les États membres de limiter la portée de certains droits et obligations – Exigence de motivation – Portée